I ricercatori di Kaspersky per la sicurezza informatica hanno recentemente scoperto un nuovo modulo IIS, progettato per rubare le credenziali che le vittime inseriscono quando accedono ai propri account Outlook Web Access (OWA).
Hanno soprannominato il nuovo modulo backdoor SessionManager e affermano che è persistente, resistente agli aggiornamenti e invisibile. Sfruttando SessionManager, secondo Kaspersky, gli hacker possono accedere alle e-mail aziendali, rilasciare altri payload dannosi (come ransomware, ad esempio) sulla rete di destinazione e gestire i server compromessi il più rapidamente possibile.
Ciò che distingue SessionManager da altri moduli simili è il suo basso tasso di rilevamento. Non è stato fino all'inizio del 2022 che il modulo è stato scoperto e alcuni dei programmi antivirus più popolari (si aprono in una nuova scheda) non lo hanno ancora contrassegnato come dannoso.
gelsemium
Secondo il rapporto, SessionManager è ora distribuito in oltre il 90% delle organizzazioni target.
Il modulo dannoso è riuscito a compromettere 34 server appartenenti a 24 organizzazioni dislocate in Europa, Medio Oriente, Asia meridionale e Africa. La maggior parte delle vittime sono organizzazioni non governative (ONG), ha affermato Kaspersky, ma ha aggiunto che anche organizzazioni mediche, compagnie petrolifere e compagnie di trasporto erano tra le vittime.
Sebbene sia difficile dire con assoluta certezza chi sia l'autore della minaccia, Kaspersky ritiene che si tratti di un gruppo noto come GELSEMIUM. Si tratta di un attore di minacce di lunga data, che risale al 2014, noto per prendere di mira governi e organizzazioni religiose in Medio Oriente, così come nell'Asia orientale.
Kaspersky ritiene che dietro questo attacco ci sia GELSEMIUM a causa del profilo della vittima simile e dell'uso della variante comune "OwlProxy".
Si consiglia alle organizzazioni sospettate di attacchi ai moduli IIS di controllare regolarmente i moduli IIS caricati sui server IIS esposti, come parte delle loro attività di ricerca delle minacce, ogni volta che viene annunciata una nuova vulnerabilità nei prodotti server Microsoft.
Dovrebbero anche concentrare le loro strategie difensive sul rilevamento del movimento laterale e sulla fuga di dati.
